Tenable'daki güvenlik araştırmacıları, Azure hizmet etiketlerinde saldırganların müşterilerin özel verilerine erişmesine izin verebilecek yüksek şiddetli bir güvenlik açığı olarak tanımladıklarını keşfettiler.
Servis etiketleri, Azure kaynaklarını korumak için ağ izolasyonu gerektiğinde, güvenlik duvarı filtreleme ve IP tabanlı erişim kontrol listeleri (ACL'ler) için kullanılan belirli bir Azure hizmeti için IP adres gruplarıdır. Bu, gelen veya giden internet trafiğini engelleyerek ve yalnızca Azure hizmet trafiğine izin vererek elde edilir.
Tenable'dan Liv Matan, tehdit aktörlerinin, güvenilir Azure hizmetlerini taklit etmek için kötü niyetli SSRF benzeri web istekleri ve Azure hizmet etiketlerine dayalı olarak güvenlik duvarı kurallarını atlamak için güvenlik açığını kullanabileceğini açıkladı.
Matan, "Bu, bir saldırganın Azure müşterilerinin özel verilerine erişmesine izin verebilecek yüksek şiddetli bir güvenlik açığıdır." Dedi.
Saldırganlar, "Klasik Test" veya "Standart Test" işlevindeki "Kullanılabilirlik Testi" özelliğinden yararlanabilir, bu da dahili hizmetlere erişmelerine ve 80/443 bağlantı noktalarında barındırılan dahili API'leri açığa çıkarmalarına olanak tanır.
Bu, saldırganlara özel başlıklar ekleme, yöntemleri değiştirme ve HTTP isteklerini gerektiği gibi özelleştirme olanağı sağlayan uygulama bilgileri kullanılabilirlik hizmetinin kullanılabilirlik testleri özelliğini kötüye kullanarak elde edilebilir.
Matan, normal olarak maruz kalmayan dahili API'lara erişmek için özel başlıkları ve Azure hizmet etiketlerini kötüye kullanma raporunda daha fazla teknik bilgi paylaştı.
"Microsoft bu güvenlik açığı için bir yama yayınlamayı planlamadığından, tüm Azure müşterileri risk altındadır. Müşterilerin MSRC tarafından verilen merkezi belgeleri hemen gözden geçirmesini ve yönergeleri iyice takip etmenizi şiddetle tavsiye ediyoruz."
Azure Uygulama Analizleri hizmetinde keşfedilirken, Tenable araştırmacılar en az on kişiyi etkilediğini buldular. Tam liste şunları içerir:
Bu sorundan yararlanan saldırılara karşı savunmak için Tenable, Azure müşterilerine, varlıklarını maruziyetten korumak için hizmet etiketlerine dayalı olarak ağ kontrollerinin üzerine ek kimlik doğrulama ve yetkilendirme katmanları eklemelerini tavsiye eder.
Şirket, Azure kullanıcılarının etkilenen hizmetlerdeki varlıkların yeterince güvence altına alınmadıkları takdirde kamuya açıklandığını varsayması gerektiğini de sözlerine ekledi.
Matan, "Azure Services'ın ağ kurallarını yapılandırırken, servis etiketlerinin özel hizmetinize trafiği güvence altına almanın su geçirmez bir yolu olmadığını unutmayın."
"Güçlü ağ kimlik doğrulamasının korunmasını sağlayarak, kullanıcılar kendilerini ek ve önemli bir güvenlik katmanı ile savunabilirler."
Bununla birlikte, Microsoft, Tenable'ın bunun orijinal dokümantasyonlarında net olmasa da, Azure Service etiketlerinin bir güvenlik sınırı anlamına gelmediğini söyleyerek, bunun bir Azure güvenlik açığı olduğunu değerlendirmesiyle aynı fikirde değil.
Microsoft, "Servis etiketleri bir güvenlik sınırı olarak ele alınmamalı ve yalnızca doğrulama kontrolleri ile birlikte bir yönlendirme mekanizması olarak kullanılmalıdır." Dedi.
"Servis etiketleri, bir müşterinin kökenine trafiği güvence altına almanın kapsamlı bir yolu değildir ve web istekleriyle ilişkili olabilecek güvenlik açıklarını önlemek için giriş doğrulamasını değiştirmez."
Şirket, müşterilerin Azure hizmet uç noktalarını yetkisiz erişim denemelerinden korumak için katmanlı bir ağ güvenliği yaklaşımı için ek yetkilendirme ve kimlik doğrulama kontrolleri gerektiğini söylüyor.
Redmond, güvenlik ekibinin veya üçüncü taraflarının henüz saldırılarda hizmet etiketlerinin sömürülmesine veya kötüye kullanıldığına dair kanıt bulamadığını da sözlerine ekledi.
Zyxel, Yaşam Sonu NAS Cihazları için Acil RCE Yaması
Cox, bir API Auth Bypass'ı Milyonlarca Modem'i Saldırılara Durdurarak Düzeltti
Kritik İlerleme için İstismar Telerik Auth Bypass Serbest Bırakılan, Şimdi Yama
CISA aktif olarak sömürülen Linux ayrıcalık yükseklik kusuru konusunda uyarıyor
Saldırılarda sömürülen VPN Zero-Day için acil durum düzeltmesini kontrol ettirir.
Kaynak: Bleeping Computer